A Intel Security apresenta um novo white paper intitulado ‘Hacking the Human OS’ (Invadindo o Sistema Operacional Humano) que revela as mais recentes técnicas de persuasão utilizadas por cibercriminosos para manipular os funcionários das empresas a fazerem coisas que eles normalmente não fariam, resultando na perda de dinheiro ou de dados valiosos.
A análise elaborada pela Intel Security e aprovada pelo Centro Europeu Contra o Cibercrime da Europol revela a extensão e a gravidade da engenharia social e a importância do treinamento em segurança corporativa.
“O tema mais comum presente nas investigações de violações de dados hoje em dia é o uso de engenharia social para coagir o usuário a realizar uma ação que facilita a infecção por um malware,” comenta Raj Samani, CTO da Intel Security para a região EMEA e conselheiro do Centro Europeu Contra o Cibercrime da Europol.
O predomínio da engenharia social em muitos ataques demonstra uma fraqueza inerente na capacidade das vítimas de distinguir as comunicações mal-intencionadas, o que os criminosos estão utilizando métodos mais complexos para evitar o “firewall humano”. Segundo dados do McAfee Labs, dois terços de todos os e-mails do mundo atualmente são spam, mensagens com o objetivo de extorquir informações e/ou roubar dinheiro, e 80% dos colaboradores são incapazes de detectar as fraudes de phishing por e-mail mais comuns e usadas com frequência.
O McAfee Labs registrou um aumento dramático no uso de URLs maliciosas, com mais de 30 milhões de URLs suspeitas identificadas até o final de 2014. O aumento é atribuído à utilização de novas URLs curtas, as quais frequentemente escondem sites maliciosos, e um grande aumento nas URLs de phishing. Essas URLs, muitas vezes, são ‘falsificadas’ para esconder o verdadeiro destino do link e são usadas frequentemente por cibercriminosos em e-mails de phishing para enganar os funcionários. Com 18% dos usuários alvo de um e-mail de phishing sendo vítimas e clicando em links maliciosos, o aumento dessas táticas é motivo para preocupação.
O white paper da Intel Security revela algumas das técnicas de persuasão utilizadas atualmente pelos cibercriminosos para contornar a conscientização dos seus alvos e manipular as vítimas através do uso de técnicas subconscientes de influência.
As seis técnicas de influência a serem observadas no mundo digital
- 1. Reciprocidade: Quando as pessoas ganham algo, eles tendem a se sentir obrigadas a retribuir o favor em seguida.
- 2. Escassez: As pessoas tendem a agir em conformidade quando acreditam que algo está no fim. Por exemplo, um e-mail cujo conteúdo dá a impressão de ser de um banco, o qual está pedindo ao usuário para agir em conformidade com uma solicitação, caso contrário, a conta será desativada dentro de 24 horas.
- 3. Consistência: Uma vez que os alvos ‘prometem’ fazer algo, eles geralmente cumprem suas promessas, pois as pessoas não querem dar a impressão de serem desonestas ou de não serem dignas de confiança. Por exemplo, um hacker se passa por alguém da equipe de TI de uma empresa pode fazer com que um colaborador concorde em cumprir todos os processos de segurança e, em seguida, pede para que ele execute uma tarefa suspeita supostamente em conformidade com as exigências de segurança.
- 4. Probabilidade: Os alvos são mais propensos a agir em conformidade quando o engenheiro social é alguém de quem eles gostam. Um hacker pode usar seu charme por telefone ou on-line para ‘conquistar’ uma vítima inocente.
- 5. Autoridade: As pessoas tendem a agir em conformidade quando uma solicitação é feita por alguém que transmite autoridade. Por exemplo, um e-mail encaminhado para o departamento financeiro que pareça ter vindo do CEO ou do presidente.
- 6. Validação Social: As pessoas têm tendência a agir em conformidade quando os outros estão fazendo a mesma coisa. Por exemplo, um e-mail de phishing pode parecer ter sido enviado a um grupo de colaboradores, o que faz com que um colaborador acredite que está tudo bem, uma vez que outros colegas também receberam a solicitação.
Um estudo recente da Enterprise Management Associates constatou que apenas 56% de todos os funcionários das empresas passam por algum tipo de treinamento sobre segurança ou sensibilização quanto à política da empresa.
“Os cibercriminosos de hoje não precisam, necessariamente, de um conhecimento técnico considerável para alcançar seus objetivos. Algumas ferramentas maliciosas bem conhecidas são enviadas através de e-mails de spear-phishing e dependem de uma manipulação psicológica para infectar os computadores das vítimas. As vítimas são persuadidas a abrir anexos de e-mails supostamente legítimos e sedutores ou a clicar em um link no corpo do e-mail, o qual parecia vir de fontes confiáveis”, comenta Paul Gillen, Chefe de Operações do Centro Europeu Contra o Cibercrime da Europol.
Uma vez que o custo global com cibercrimes chega a uma estimativa de $445 bilhões, a Intel Security encoraja as empresas a ensinar aos seus colaboradores sobre as técnicas de influência usadas atualmente pelos hackers no mundo digital.
